Bu yardımda net güvenlik röportajında, Cyware CEO’su Anuj Goel, tehdit istihbaratının artık nasıl olmadığını tartışıyor Sahip olmak güzelbu bir çekirdek siber savunma gereksinimi. Ancak zekayı eyleme dönüştürmek birçok kuruluş için bir zorluk olmaya devam ediyor. İleri yol, teknik ve yönetici ekipler arasında entegrasyon, otomasyon ve işbirliğinde yatmaktadır. Doğru strateji ile, tehdit zekası sadece bir farkındalık kaynağı değil, aynı zamanda hız, hassasiyet ve esneklik itici gücü olabilir.
Eylem edilebilir tehdit zekasını bir CISO’nun bağlamında nasıl tanımlarsınız ve “iyi” neye benziyor?
Eylem edilebilir tehdit istihbaratı, doğrudan ölçülebilir bir güvenlik kararına veya eylemine yol açan içgörüdür. Bu sadece tehdit veri toplamakla ilgili değil. Bu verileri kuruluşun benzersiz risk duruşunu geliştirmek için anlamlı bir şeye çevirmekle ilgilidir.
Bir CISO için, “iyi” tehdit istihbaratı zamanında, alakalı ve kuruluşun varlıkları, verileri, kullanıcıları ve iş operasyonları ile bağlamsallaştırılmıştır. Belirli bir tehdidin neden önemli olduğu, kuruluşun çevresi ile nasıl ilişkili olduğu ve hangi yanıt seçeneklerinin mevcut olduğu konusunda netlik sağlar. Bu, bir IOC’yi bilinen güvenlik açıklarına eşlemek, bir tehdit oyuncusunun kampanyasının güvenilirliğini değerlendirmek veya farklı telemetri kaynaklarında davranış kalıplarını tanımlamak anlamına gelebilir. Sonuçta, eyleme geçirilebilir zeka daha hızlı önceliklendirme ve daha bilinçli yanıt sağlar.
Güvenlik operasyonları ve risk yönetimi boyunca tehdit istihbaratını operasyonel hale getirmeye çalışırken çoğu kuruluş nerede yetersiz kalıyor?
Birçok kuruluş, tehdit yemlerini “elde etmek” için büyük yatırım yaptı, ancak çok daha azı, bunları tutarlı bir şekilde bağlamsallaştırmak ve harekete geçirmek için gereken iç süreçleri ve entegrasyonları inşa etti. En büyük eksiklik genellikle son mildedir ve zekayı gerçek zamanlı tespit, yanıt ve risk azaltmaya bağlar.
Diğer bir zorluk da örgütsel silolardır. Birçok ortamda, CTI ekibi SECOP’lardan, olay tepkisinden veya tehdit avcılık ekiplerinden ayrı olarak çalışır. Bu işlevler arasında sorunsuz işbirliği olmadan, tehdit istihbaratı bir kuvvet çarpanı yerine bağımsız bir yetenek olmaya devam etmektedir. Bu genellikle tehdit istihbarat ekiplerinin güvenlik operasyonlarına değer göstermek için zorlanabilir. Etkili operasyonel, sadece iyi bir intel değil, aynı zamanda güçlü işbirliği, otomasyon ve zekanın olumlu iş sonuçlarını nasıl yönlendirdiğine dair açık bir sahiplik duygusu gerektirir.
Cisos açık kaynak, ticari ve hükümet tehdidi Intel Feed’leri dengelemeyi nasıl düşünmeli?
Her bir tehdit zekası beslemesi farklı güçlü yönler ve kör noktalar getirir. Açık kaynak yemleri, özellikle hızlı hareket eden tehditler için genişlik ve hız sunar, ancak doğrulama ve bağlamın yararlı olması gerekir. Ticari yemler, özellikle belirli sektörler veya tehdit aktörleri etrafında daha yüksek sadakat ve küratörlü zeka sağlama eğilimindedir. Hükümet yayınları daha geniş durumsal farkındalık, uyumluluk yükümlülükleri ve sektöre özgü tehditler için gereklidir.
Cisos, birini diğerine seçmek yerine, bu kaynakları harmanlamaya ve bunları iç telemetri ile ilişkilendirmeye odaklanmalıdır. Amaç, gürültüyü azaltmak, alaka düzeyini artırmak ve kuruluşun gerçek tehdit yüzeyini yansıtan zenginleştirilmiş bilgiler üretmektir. Yem seçimi de entegrasyon yeteneklerini göz önünde bulundurmalıdır – zeka sadece üzerinde hareket edebilecek sistemler ve insanlar kadar yararlıdır. Tehdit istihbaratı operasyonel hale getirildiğinde, mevcut tehdit beslemelerinden net bir resim oluşturulabilir.
4. Olgun güvenlik programlarında tehdit istihbaratı için gördüğünüz en etkili kullanım durumları nelerdir?
Olgun programlarda, tehdit istihbaratı birkaç yüksek değerli kullanım durumuna güç verir:
- Tehdit Avı: İstihbarat, avcıların çevre içindeki göstergeleri veya davranışları proaktif olarak aramalarına yardımcı olur ve genellikle uyarıları tetiklemeyen faaliyetleri ortaya çıkarır.
- Olay Yanıtı: Bir olay sırasında, gerçek zamanlı istihbarat, müdahalelere soruşturma ve sınırlama stratejilerine rehberlik edebilecek saldırgan güdüleri, araçlar veya altyapı-bağlamı verir.
- Güvenlik Açığı Önceliği: Olgun ekipler her şeyi eşit olarak yamalamak yerine, aktif olarak sömürülen veya endüstrileriyle ilgili olan güvenlik açıklarına öncelik vermek için tehdit istihbaratını kullanırlar.
- Maruz kalma yönetimi: İstihbarat, kimlikleri, varlıkları, yanlış yapılandırmaları ve rakiplerin sömürebileceği dış maruziyetleri haritalayarak kuruluşun saldırı yüzeyini sürekli olarak tanımlamaya, değerlendirmeye ve azaltmaya yardımcı olur.
Bu kullanım durumlarında ortak iş parçacığı, zekanın izole bir besleme veya gösterge tablosu olarak ele alınmamasıdır – iş akışlarına gömülüdür ve sadece onları bilgilendirmekle kalmaz, eylemlere rehberlik etmek için kullanılır.
Cisos Foster Tehdit Intel ekibi ile organizasyonun SOC, IR, GRC ve Kurul gibi diğer bölümleri arasında işbirliğini nasıl tavsiye edersiniz?
İşbirliği ortak hedeflerle başlar. Tehdit Intel ekibi başka bir güvenlik işlevi olarak değil, risk azaltma ve karar desteğinde stratejik bir ortak olarak görülmelidir. CISOS, CTI’yi güvenlik işlemleri iş akışlarına, olay müdahale oyun kitaplarına, risk kayıtlarına ve raporlama çerçevelerine yerleştirerek çapraz işlevsel hizalamayı teşvik edebilir.
Düzenli iletişim hem resmi hem de gayri resmi önemlidir. CTI ve SOC veya IR ekipleri, ortak masa üstü egzersizleri ve ortak olay adli tıp arasındaki haftalık senkronizasyonlar, işbirliği için kas belleği oluşturabilir. Yönetişim düzeyinde, tehdit eğilimlerini kritik varlıklara yönelik tehditler veya düzenleyici maruziyetteki değişiklikler gibi iş etkisine bağlamak, zekanın yönetim kurulu düzeyinde izleyiciler için anlamlı bir şeye dönüştürmeye yardımcı olur. Bu işlevler arası işbirliğini kolaylaştırmak, merkezi bir merkez olarak hizmet etmek için otomatik bir tehdit istihbarat platformudur.